やあやあ、久しぶりだね!今日はちょっと怖い話をしようと思ってさ。

パソコンやスマホでウェブを見るとき、君たちはどのブラウザを使ってるかい?おじさんが聞いてみると、たいていの人は「Chrome」って答えるんだよね。それもそのはず、2025年時点でGoogle Chromeの世界シェアは約65%。世界中で35億人以上が使ってるんだから、もうインターネットの「道路」みたいなもんさ。

ところが、その道路に大きな穴が空いたって話が2026年4月初旬に飛び込んできた。Googleが「Chromeにゼロデイ脆弱性がある」と警告し、アメリカのサイバーセキュリティ機関CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)も「実際に悪用が確認された」と正式に認定したんだ。Forbes JAPANの報道によれば、影響を受けるユーザー数は35億人にのぼるというから、これは洒落にならないだろう?

そもそも「ゼロデイ」って何なのさ

まあ、聞いてくれよ。「ゼロデイ(Zero-day)」という言葉、聞いたことあるかい?

「ゼロデイ」とは、ソフトウェアの脆弱性(バグ)が発見されてから、開発者がパッチ(修正プログラム)を配布するまでの「修正対応日数がゼロの日」を指すんだ。つまり、

  • 攻撃者がバグを発見 → すぐ攻撃開始
  • 開発者はまだ把握していない → 対応パッチがない
  • ユーザーは無防備のまま攻撃される

という、最も危険な状態のことさ。セキュリティの世界では「0-day exploit(ゼロデイエクスプロイト)」とも呼ばれ、闇市場では1件あたり数百万ドル以上で取引されることもあるんだよ。2021年にGoogle Project Zeroが公開したレポートによれば、その年だけで58件のゼロデイ脆弱性が野放し状態で悪用されたと記録されている。

今回のChromeの脆弱性、具体的に何が起きたのか

今回Googleが修正したのは、深刻度「高(High)」に分類された複数の脆弱性だ。ITmediaの報道によると、CISAは2026年4月にこれらをKEV(Known Exploited Vulnerabilities)カタログ、つまり「実際に悪用が確認された脆弱性リスト」に追加した。

ChromeブラウザはV8というJavaScriptエンジンを使っているんだが、このV8エンジン部分の脆弱性が今回の問題の核心にある。悪意のあるウェブページにアクセスするだけで、攻撃者がユーザーのパソコンを遠隔操作できる可能性があるというから、事態は深刻だよ。

Googleはすでに修正バージョンを配布済みで、Windows・Mac向けにはChrome 134系の最新版への更新を強く推奨している。

おじさんのうんちくコーナー:ゼロデイの「発見者」は誰なのか

おじさんに言わせれば、ゼロデイ脆弱性の世界は「善と悪のいたちごっこ」そのものだよ。

脆弱性を見つける人たちは大きく3種類いる。

  • ホワイトハット(善意のハッカー): Googleの「Project Zero」チームが代表例。2014年創設で、自社製品以外も含めて脆弱性を発見し、開発者に報告する。報告から90日以内にパッチが出なければ公開するという厳しいルールで知られる
  • バグバウンティハンター: Googleは「Chrome Vulnerability Reward Program」を運営しており、脆弱性1件の報告に対して最大15万ドル(約2,250万円)の報奨金を支払ったことがある
  • ブラックハット(悪意の攻撃者): 脆弱性を闇市場で売買する。イスラエルのNSOグループが開発した「Pegasus」スパイウェアは、iOSのゼロデイを使い2021年に世界中の政治家・ジャーナリスト約50,000人のスマホを標的にしたと報告されている

セキュリティ研究者たちが日々Chromeのコードを調べてくれているおかげで、私たちは守られているわけだ。

Chromeがこれだけ狙われる理由

なぜChromeばかりが狙われるのか。おじさんがその理由を教えてあげよう。

理由1:ユーザー数の多さ=攻撃効率が高い

前述の通り世界シェア65%。攻撃者にとっては「1つの脆弱性で35億台を狙える」というコスパ抜群のターゲットなわけさ。

理由2:Chromiumエンジンの普及

Chromeのベースとなる「Chromiumエンジン」は、MicrosoftのEdge、OperaブラウザにもOSS版が採用されている。つまりChromeの脆弱性は、他のChromiumベースブラウザにも影響する可能性があるんだ。2023年時点でChromiumベースのブラウザを合計すると、世界シェアは80%超に達するという試算もある。

理由3:複雑さが脆弱性を生む

Chromeのソースコードは公開されており、そのコード行数は約3,500万行と言われている。これほど巨大なソフトウェアに脆弱性が潜むのは、ある意味避けられないことでもあるんだよね。

今すぐできる対策、おじさんが教えるよ

難しい話はここまでにして、実際に何をすべきかを話そう。

  1. Chromeを最新版に更新する — アドレスバーに chrome://settings/help と入力して確認
  2. 自動更新をオンにしておく — 設定→システムで「Chromeが閉じているときもバックグラウンドアプリの実行を続ける」を有効化
  3. 怪しいリンクはクリックしない — 今回の脆弱性は悪意あるページを「開くだけ」で発動するタイプ
  4. Chromeの拡張機能を定期的に見直す — 不要な拡張は削除。拡張経由の攻撃も多い

まとめ

ちょっと聞いてくれよ、最後にひとつだけ。

Chromeのゼロデイ問題は今回が初めてじゃないし、これで最後でもないんだ。2023年だけでGoogleはChromeのゼロデイを8件修正している。つまり「セキュリティは一度やれば終わり」じゃなく、日々の習慣なんだよね。

おじさんが長年パソコンと付き合ってきて言えることは「アップデートをケチるな」ってことだよ。面倒くさがって後回しにした更新が、あとで大きなしっぺ返しをくらうことになる。

35億人のうちの一人として、今日帰ったらまずChromeのバージョンを確認してみてくれよ。それだけで君のデジタル生活はぐっと安全になるからさ。じゃあまた、うんちくおじさんでした!